Ã?berwachung der eingeloggten User

Bash, Shell, PHP, Python, Perl, CGI
r00ty
Posts: 747
Joined: 2003-03-17 15:32

Ã?berwachung der eingeloggten User

Post by r00ty »

Hallo !

Es könnte gut sein, dass ich nicht mehr alleiniger Nutzer meines Server bin.
Dies will ich jetzt überwachen. Für die Shellzugriff hab ich mir sowas überlegt:

finger | grep -v Login >> sshlog
(das grep, dass die erste Zeile rausfliegt)

wenn ich das alle Sekunde ausführe hab ich alle Usernames mit Zeit drinnen - leider fehlt mir da noch der Zusatz, dass wenn die Zeile schon drinnen ist er sie nicht nochmal reinschreibt ? Wie geht das ?

Zudem sollte ich noch die FTP-User überwachen. Da hab ich aber keinen Plan wie ich rankomme. Genausowenig, weiss ich nicht, ob jemand als Root oder nur als User angemeldet ist. Gibts da Ideen ?
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ã?berwachung der eingeloggten User

Post by captaincrunch »

Schon mal daran gedacht, etwas in der Richtung per last aufzuziehen ?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Ã?berwachung der eingeloggten User

Post by r00ty »

ich werd gleich mal
man last eingeben :-)
r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Ã?berwachung der eingeloggten User

Post by r00ty »

huiuiui

ist ja lusig...

wie war das ? Wozu einfach wenn es auch kompliziert geht !

Thx a lot.... (das Last dingens lässt sich hoffentlich nicht so einfach manipulieren, oder ?)
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ã?berwachung der eingeloggten User

Post by captaincrunch »

(das Last dingens lässt sich hoffentlich nicht so einfach manipulieren, oder ?)
last holt seine Infos aus der /var/log/lastlog. Das ganze ist ein Binärfile, dass sich aber (wie alles andere) auch manipulieren lässt, sobald jemand mit genug Fachwissen UID 0 auf deinem Server erlangt. Es gibt sogar Tools, die verdächtige Einträge ganz automatisch "cleanen", aber das ist dann eher was für die Scriptkidies ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
chris2000
Posts: 54
Joined: 2002-08-21 21:33

Re: Ã?berwachung der eingeloggten User

Post by chris2000 »

CaptainCrunch wrote:
(das Last dingens lässt sich hoffentlich nicht so einfach manipulieren, oder ?)
last holt seine Infos aus der /var/log/lastlog. Das ganze ist ein Binärfile, dass sich aber (wie alles andere) auch manipulieren lässt, sobald jemand mit genug Fachwissen UID 0 auf deinem Server erlangt. Es gibt sogar Tools, die verdächtige Einträge ganz automatisch "cleanen", aber das ist dann eher was für die Scriptkidies ... ;)
Deshalb würde ich an der Stelle von r00ty mal nach einem rootkit suchen und mich nicht auf die Ausgabe eines (evtl. kompromittierten Systems) verlassen.

Gruß,
Christian
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ã?berwachung der eingeloggten User

Post by captaincrunch »

Er hat halt nichts davon gesagt, worum es ihm dabei genau ging. In seinem Thread im Security wurde ihm ja schon schwer ans Herz gelegt, die Kiste komplett neu aufsetzen zu lassen ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Ã?berwachung der eingeloggten User

Post by r00ty »

hehe

also dazu muss ich sagen, dass ich das mit dem neu aufsetzen ernst nehme
aber nicht der server ist bisher geknackt worden, sondern meine Maschine daheim... wobei das genug Grund zur Sorge ist
chris2000
Posts: 54
Joined: 2002-08-21 21:33

Re: Ã?berwachung der eingeloggten User

Post by chris2000 »

Hast du daheim auch Server laufen oder wie konnte das passieren?

Gruß,
Christian
[tom]
Posts: 656
Joined: 2003-01-08 20:10
Location: Berlin

Re: Ã?berwachung der eingeloggten User

Post by [tom] »

r00ty wrote: also dazu muss ich sagen, dass ich das mit dem neu aufsetzen ernst nehme
aber nicht der server ist bisher geknackt worden, sondern meine Maschine daheim... wobei das genug Grund zur Sorge ist
Das verwirrt mich jetzt ein wenig. Gepostet hast du die Server-Logs (in Security). Oder hab ich mal wieder irgendwas überlesen?

[TOM]
r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Ã?berwachung der eingeloggten User

Post by r00ty »

okay, also es sieht so aus:

ich habe mir zu hause am privaten Rechner nen Trojaner eingefangen. Der Rechner ist mittlerweile platt gemacht und neu aufgezogen.
Jetzt weiss ich natürlich nicht, ob die Jungs sich evtl an meinen Passwörtern vergriffen haben (nein, ich habe sie in keiner Textdatei *g*)
Aber was weiss ich, was man alles mitloggen kann. Ein einfacher Keylogger würde das Passwort schnell filtern.
Somit habe ich etwas angst um den Server gehabt. Ich hab am Server alle PW's geändert und habe mal nachgeschaut, was so die letzten Tage (seit dem ich den Trojander hatte) passiert ist - ob Unregelmäßigkeiten vorhanden sind. Dabei sind mir die Logeinträge aufgefallen, die aber ja anscheinen woanders her kommen.